Attacco informatico: cos’è, come funziona, obiettivo e come è possibile prevenirlo: Man in the Middle

cyber security man in the middle
Cyber Security

Un attacco informatico è definibile come un’attività ostile nei confronti di un sistema, di uno strumento, di un’applicazione o di un elemento che abbia una componente informatica. È un’attività che mira ad ottenere un beneficio per l’attaccante a discapito dell’attaccato.

Esistono diverse tipologie di attacco informatico, variabili in base agli obiettivi da raggiungere e agli scenari tecnologici e di contesto:

  • attacchi informatici per impedire il funzionamento di un sistema
  • che puntano alla compromissione di un sistema
  • alcuni attacchi mirano a conquistare dati personali posseduti da un sistema o da un’azienda,
  • attacchi di cyber-activism a supporto di cause o campagne di informazione e comunicazione
  • ecc…

Tra gli attacchi più diffusi, in tempi recenti, ci sono gli attacchi a scopo economico e gli attacchi per i flussi di dati, detti Man-In-The-Middle: un attacco che ha come obiettivo un sito web popolare o un database per rubare dati di tipo finanziario.

Coloro che operano l’attacco informatico, in solitaria o in gruppo, sono chiamati Hacker

Attacco Man-in-the-middle

Un attacco Man in the Middle si verifica quando un hacker si inserisce tra le comunicazioni di un client e un server. Ecco alcuni tipi comuni di attacchi man-in-the-middle:

Dirottamento della sessione

In questo tipo di attacco Man in the Middle, un attaccante dirotta una sessione tra un client fidato e un server di rete. Il computer attaccante sostituisce il suo indirizzo IP con quello del client fidato, mentre il server continua la sessione, credendo di comunicare con il client. Ad esempio, l’attacco potrebbe svolgersi in questo modo:

  1. Un client si connette a un server.
  2. Il computer dell’attaccante ottiene il controllo del client.
  3. Il computer dell’attaccante disconnette il client dal server.
  4. Il computer dell’attaccante sostituisce l’indirizzo IP del client con il proprio indirizzo IP e
    e falsifica il MAC Address del client.
  5. Il computer dell’attaccante continua a dialogare con il server e il server crede di essere ancora in comunicazione con il client reale.
IP Spoofing

L’IP spoofing è usato da un attaccante per convincere un sistema che sta comunicando con un’entità nota e fidata e fornisce quindi all’attaccante l’accesso al sistema. L’attaccante invia un pacchetto con l’indirizzo sorgente IP di un host noto e fidato invece del proprio indirizzo sorgente IP ad un host di destinazione. L’host di destinazione potrebbe accettare il pacchetto e agire di conseguenza, concedendo l’accesso.

Replay

Un attacco replay si verifica quando un attaccante intercetta e salva vecchi messaggi e poi cerca di inviarli in seguito, impersonando uno dei partecipanti. Questo tipo può essere facilmente contrastato con timestamp di sessione o un nonce (un numero casuale o una stringa che cambia nel tempo).

Attualmente, non esiste una singola tecnologia o configurazione per prevenire tutti gli attacchi Man in the Middle. In generale, la crittografia e i certificati digitali forniscono un’efficace salvaguardia contro gli attacchi Man in the Middle, assicurando sia la riservatezza che l’integrità delle comunicazioni. Ma un attacco man-in-the-middle può anche essere iniettato nel mezzo delle comunicazioni in modo tale che nemmeno la crittografia può aiutare – per esempio, l’attaccante “A” intercetta la chiave pubblica della persona “P” e la sostituisce con la propria chiave pubblica. Quindi, chiunque voglia inviare un messaggio criptato a P usando la chiave pubblica di P sta inconsapevolmente usando la chiave pubblica di A. Pertanto, A può leggere il messaggio destinato a P e poi inviare il messaggio a P, criptato con la vera chiave pubblica di P, e P non noterà mai che il messaggio è stato compromesso. Inoltre, A potrebbe anche modificare il messaggio prima di reinviarlo a P. Come potete vedere, P sta usando la crittografia e pensa che le sue informazioni siano protette ma non lo sono, a causa dell’attacco Man in the Middle.

Quindi, come si può essere sicuri che la chiave pubblica di P appartenga a P e non ad A? Le autorità di certificazione e le funzioni hash sono state create per risolvere questo problema. Quando la persona 2 (P2) vuole inviare un messaggio a P, e P vuole essere sicuro che A non leggerà o modificherà il messaggio e che il messaggio provenga effettivamente da P2, si deve usare il seguente metodo:

  1. P2 crea una chiave simmetrica e la cripta con la chiave pubblica di P.
  2. P2 invia la chiave simmetrica criptata a P.
  3. P2 calcola un hash del messaggio e lo firma digitalmente.
  4. P2 cripta il suo messaggio e l’hash firmato del messaggio usando la chiave simmetrica e invia il tutto a P.
  5. P è in grado di ricevere la chiave simmetrica da P2 perché solo lui ha la chiave privata per decifrare la crittografia.
  6. P, e solo P, può decifrare il messaggio crittografato simmetricamente e l’hash firmato perché ha la chiave simmetrica.
  7. È in grado di verificare che il messaggio non sia stato alterato perché può calcolare l’hash del messaggio ricevuto e confrontarlo con quello firmato digitalmente.
  8. P è anche in grado di provare a se stesso che P2 era il mittente perché solo P2 può firmare l’hash in modo che sia verificato con la chiave pubblica di P2.
Malware e Man in the Middle

È possibile lanciare un attacco servendosi di un malware; in gergo tecnico si parla di attacco “man in the browser” perché il malintenzionato tramite il virus infetta il software di navigazione sul Web.

Una volta compromesso il browser, l’attaccante può manipolare una pagina web mostrando qualcosa di diverso rispetto al sito originale.

Potrebbe anche dirottare il malcapitato su siti web fake, che simulano ad esempio pagine bancarie o social media, impossessandosi delle chiavi di accesso … al resto immaginate voi!

Prendiamo ad esempio il trojan SpyEye, utilizzato come keylogger per rubare le credenziali dei siti Web. SpyEye è stato sviluppato in Russia nel 2009, è stato diffuso tramite estensioni per i browser Google Chrome, Firefox, Internet Explorer e Opera.

 
Creare un falso Access Point

L’ultimo tipo di attacco (che potrebbe sembrare banale), invece è quello che funziona quasi sempre.  Si tratta di creare un falso Access Point (dal nome simile ma non uguale a quello legittimo), creando così un ponte tra l’utente e il router della rete Wi-Fi.

Detto così sembra strano e banale, invece la gente ci casca quasi sempre e si connette all’Access Point fasullo creato dal malintenzionato aprendo così le porte del suo dispositivo.

 
Dirottamento dei cookie di sessione

 

Un altro tipo di attacco Man in the Middle avviene quando i criminali si impadroniscono dei frammenti di codice generati dal tuo browser per connettersi a siti Web diversi. In questo caso si parla di dirottamento dei cookie.

Questi frammenti di codice, o cookie di sessione, possono contenere migliaia di informazioni personali di importanza critica: nomi utente, password, moduli precompilati, attività online e persino il tuo indirizzo fisico. Una volta in possesso di tutte queste informazioni, un hacker potrà utilizzarle in un numero praticamente infinito di modi (nessuno dei quali a scopo di bene), come spacciarsi per te online, accedere a dati finanziari, organizzare frodi e furti sfruttando la tua identità e così via.

 

Se hai subito un attacco e hai bisogno di ristabilire il normale funzionamento, o se semplicemente vuoi vederci chiaro e capire meglio, o vuoi fare prevenzione: scrivici all’email [email protected] 

 

Potrebbe interessarti il nostro post sugli attacchi Malware —>

 


Come funziona un attacco man-in-the-middle?

Un attacco Man in the Middle è costituito da due fasi:

Fase 1: intercettazione

Il primo imperativo per chi compie un attacco man-in-the-middle è intercettare il tuo traffico Internet prima che raggiunga la destinazione. Esistono alcuni metodi a questo scopo:

  • Spoofing IP: come una banda di ladri applica targhe finte sull’auto utilizzata per la fuga, con lo spoofing degli indirizzi IP (Internet Protocol) gli hacker falsificano la vera origine dei dati che inviano al tuo computer camuffandola come legittima e attendibile. 
  • Spoofing ARP: detto anche infezione ARP o routing dannoso di messaggi ARP, questo metodo MITM permette agli hacker di inviare un falso messaggio ARP (Address Resolution Protocol)
  • Spoofing DNS: sta per Domain Name System ed è un sistema per la conversione dei nomi di dominio Internet da lunghi e impronunciabili indirizzi IP numerici a indirizzi intuitivi e facilmente memorizzabili
Fase 2: decriptaggio

Dopo aver intercettato il tuo traffico Web, gli hacker devono decriptarlo. Ecco alcuni dei metodi di decriptaggio più comunemente utilizzati per gli attacchi MITM:

  • Spoofing HTTPS
  • BEAST SSL
  • Dirottamento SSL
  • SSL Strip

Se hai subito un attacco e hai bisogno di ristabilire il normale funzionamento, o se semplicemente vuoi vederci chiaro e capire meglio, o vuoi fare prevenzione: scrivici all’email [email protected] 

 

Potrebbe interessarti il nostro post sugli attacchi Malware —>

 


 
Prevenzione degli attacchi man-in-the-middle

Benché gli attacchi Man in the Middle siano potenzialmente pericolosissimi, puoi fare molto per prevenirli riducendo al minimo i rischi e tenendo al sicuro dati, denaro e… dignità.

Utilizza sempre una VPN

In parole semplici, una VPN è un programma o un’app che nasconde, cripta e maschera ogni aspetto della tua vita online, come email, chat, ricerche, pagamenti e addirittura la tua posizione. Le VPN ti aiutano a prevenire gli attacchi Man in the Middle e a proteggere qualsiasi rete Wi-Fi criptando tutto il tuo traffico Internet e trasformandolo in linguaggio incomprensibile e inaccessibile per chiunque tenti di spiarti.

 
Procurati un buon antivirus

Devi assolutamente procurarti un software antivirus efficace e affidabile
Se il tuo budget è limitato, online puoi trovare numerosi antivirus gratis

SECURITY ASSESSMENT

E’ il processo fondamentale per misurare il livello attuale di sicurezza della tua azienda.
Per far questo è necessario coinvolgere un Cyber Team adeguatamente preparato, in grado di procede a un’analisi dello stato in cui versa l’azienda rispetto alla sicurezza informatica.
L’analisi può essere svolta in modalità sincrona , tramite un’intervista effettuata dal Cyber Team o
anche asincrona , tramite la compilazione on line di un questionario.

Noi possiamo aiutarti, contatta gli specialisti di HRC srl scrivendo a [email protected]

SECURITY AWARENESS: conosci il nemico

Più del 90% degli attacchi hacker ha inizio da un’azione del dipendente.
La consapevolezza è la prima arma per combattere il rischio cyber.

Ecco come creiamo «Awareness », possiamo aiutarti, contatta gli specialisti di HRC srl scrivendo a [email protected]

MANAGED DETECTION & RESPONSE (MDR): protezione proattiva degli endpoint

I dati aziendali rappresentano un enorme valore per i criminali informatici, per questo motivo gli endpoint e i server sono presi di mira . E’ difficile per le tradizionali soluzioni di protezione contrastare le minacce emergenti. I criminali informatici aggirano le difese antivirus, approfittando dell’impossibilità da parte dei team IT aziendali di monitorare e gestire gli eventi di sicurezza 24 ore su 24.

Con il nostra MDR possiamo aiutarti, contatta gli specialisti di HRC srl scrivendo a [email protected]

MDR è un sistema intelligente che monitora il traffico di rete ed esegue un’analisi comportamentale
del sistema operativo, individuando attività sospette e non volute.
Tali informazioni sono trasmesse a un SOC (Security Operation Center), un laboratorio presidiato da
analisti di cybersecurity, in possesso delle principali certificazioni in cybersecurity.
In caso di anomalia, il SOC, con servizio gestito 24/7 , può intervenire a diversi livelli di severità, dall’invio di un’e mail di avvertimento, fino all’isolamento del client dalla rete.
Questo consentirà di bloccare potenziali minacce sul nascere e di evitare danni irreparabili.

SECURITY WEB MONITORING: analisi del DARK WEB

Il dark web indica i contenuti del World Wide Web nelle darknet (reti oscure) che si raggiungono via Internet attraverso specifici software, configurazioni e accessi.
Con il nostro Security Web Monitoring siamo in grado di prevenire e contenere gli attacchi informatici, partendo dall’analisi del dominio aziendale (es.: ilwebcreativo.it ) e dei singoli indirizzi e mail.

Contattaci scrivendo a [email protected], possiamo preparare un piano di riparazione per isolare la minaccia, prevenirne la diffusione e definiamo le azioni di remediation necessarie. Il servizio è erogato H24 dall’Italia

CYBERDRIVE: applicazione sicura per la condivisione e modifica dei file

CyberDrive è un file manager cloud con elevati standard di sicurezza grazie alla crittografia indipendente di tutti i file. Garantisce la sicurezza dei dati aziendali mentre si lavora nel cloud e si condividono e si modificano documenti con altri utenti . In caso di perdita di collegamento, nessun dato viene memorizzato sul PC dell’utente. CyberDrive evita che i file possano essere persi per danni accidentali o esfiltrati per furto, sia esso fisico o digitale.

«THE CUBE»: la soluzione rivoluzionaria

Il più piccolo e potente datacenter in-a-box che offre potenza di calcolo e protezione dai danni fisici e logici. Progettato per la gestione dei dati in ambiti edge e robo, ambienti retail, studi professionali, uffici remoti e piccole aziende dove spazio, costo e consumo di energia sono fondamentali. Non necessita di sale CED ed armadi Rack. Posizionabile in qualunque tipo di ambiente grazie all’estetica d’impatto in armonia con gli spazi di lavoro. «The Cube» mette la tecnologia software enterprise al servizio della piccola e media impresa.

Contattaci scrivendo a [email protected]

Potrebbe interessarti il nostro Post sul Man in the Middle

 

Ercole Palmeri: Innovation addicted

seo cose da fare con il tuo sito web
Digitale
Sito WEB: le cose da fare, migliorare la propria presenza sui motori di ricerca, cos’è la S.E.O. – VIII parte

S.E.O., ossia Search Engine Optimization, è il posizionamento del tuo sito web o ecommerce nei motori di ricerca e nei social network. Con SEO si intende il modo con cui si ottimizza il proprio sito nel motore di ricerca, cioè si ottimizza nel senso di semplicità con cui il tuo …

attacco birthday
Cyber Security
Attacco informatico: cos’è, come funziona, obiettivo e come è possibile prevenirlo: Attacco birthday

Un attacco informatico è definibile come un’attività ostile nei confronti di un sistema, di uno strumento, di un’applicazione o di un elemento che abbia una componente informatica. È un’attività che mira ad ottenere un beneficio per l’attaccante a discapito dell’attaccato. Oggi analizziamo l’attacco birthday Esistono diverse tipologie di attacco informatico, …

catena blockchain
Digitale
Blockchain cosa vuol dire, Cos’è e come usarla

Letteralmente blockchain vuol dire “catena di blocchi”, tecnicamente è una struttura dati condivisa e non modificabile. La blockchain è un registro digitale le cui voci sono raggruppate in “blocchi”, concatenati in ordine cronologico, e la cui integrità è garantita dall’uso della crittografia. Blockchain: è una struttura di dati in cui …